我pipe理了大约60台Windows电脑的networking。 由于Facebook访问,白天有大量的时间浪费。 我想限制员工访问facebook.com,每天<30分钟。 我知道如何使用我们的防火墙完全阻止它。 我可能可以写一个代理,所有的访问经历,我测量的时间,但有没有简单的方法来限制我的整个公司的脸书访问到每天30分钟? 我知道在一个无状态的协议上测量30分钟是很困难的,但我真的只是问是否有一个工具,我可以使用这个完成我的目标,限制访问Facebook的时间可以追溯到一定的时间。 注意:我有一个思科ASA防火墙
问题:我相信我已经完成了部署我的应用程序所需的一切,但是当我去到我的新URL时,浏览器出现“问题加载页面,服务器花了很长时间回应”错误。 统计: 我正在首次通过EC2进行部署。 我有一个与Ubuntu 12.04运行的实例,具有相关的弹性IP RVM已安装; 我正在运行Ruby 1.9.3-p194和Rails 3.2.6 我通过Passenger安装程序,按照指示安装了Apache包,并编辑了conf文件。 我还从namecheap.com购买了一个域名,并列出了我的EC2弹性IP作为主机。 我的应用程序位于/ var / www(例如,我的'app'文件夹位于/ var / www / app等等) 不知道,如果这是相关的,但我用git拉我的应用程序到服务器上。 编辑:感谢评论者,我能够缩小这个问题:这是对我的EC2实例的安全性 – 请求永远不会到达Apache2。 我的安全组是我自己制作的(不是“默认”),并且有三条规则,都在TCP下:1)允许在端口22上访问SSH; 2)允许在端口80上进行HTTP访问; 3)允许端口443上的HTTPS访问。允许的IP为0.0.0.0/0。 我是否需要更多规则? SSH工作正常。 这是端口扫描的结果: $ nmap -P0 -p80 ec2-xx-xx-x-xxx.compute-1.amazonaws.com Starting Nmap 5.21 ( http://nmap.org ) at 2012-07-16 18:16 UTC Nmap scan report for ec2-xx-xx-x-xxx.compute-1.amazonaws.com (yy.yy.yyy.yyy) Host is up. rDNS […]
我在我的DMZ中有一个Web服务器( 193.170.4.2 ),需要通过SMTP在内部与我们的Exchange服务器( 10.77.51.87 )进行通信。 我用access-list acl-dmz permit tcp host 193.170.4.2 host 10.77.51.87 eq smtp ,但是没有工作。 是因为acl-outbound或nat ACL中的拒绝ip线? 如果没有,任何人都可以看到可能是什么原因造成的? 我的configuration如下: PIX_6.3(5)_515# access-group acl-inbound in interface outside access-group acl-outbound in interface inside access-group acl-dmz in interface dmz1 PIX_6.3(5)_515# PIX_6.3(5)_515# sh access-list acl-outbound | in deny access-list acl-outbound line 86 deny ip 10.0.0.0 255.0.0.0 193.170.4.0 255.255.255.0 (hitcnt=1209) […]
我正在尝试在ASA 5505上设置NAT转换,但新增公共IP地址在添加之后永远无法使用。 我确信我在做一些愚蠢的事情,但是到目前为止,这个问题已经没有了我。 基本上,我试图映射XX.XX.115.195 => 192.168.125.7。 XX.XX.115.194是防火墙的公共IP,它是可访问的,但115.195似乎从来没有拿起。 我inheritance了原来的configuration,所以有可能是其他规则之一阻止这种情况发生。 我已经包括了我认为是以下相关部分。 以下是我添加的具体规则。 我已经证实,我能够通过通常的端口和协议从防火墙内部到达125.7服务器,但是从公共115.195外部不能响应任何事情。 静态(外部,内部)192.168.125.7 XX.XX.115.195networking掩码255.255.255.255 ASA版本7.2(4) ! 接口Vlan1 名称里面 安全级别100 IP地址192.168.125.1 255.255.255.0 ! 接口Vlan2 外面的名字 安全级别0 IP地址XX.XX.115.194 255.255.255.248 ! 访问列表外部扩展许可证tcp任何主机XX.XX.115.194当量44000 access-list outside-in扩展许可证tcp任何主机XX.XX.115.194 eq https access-list outside-in扩展许可证tcp任何主机XX.XX.115.194 eq 4000 access-list inside_nat0_outbound扩展许可证ip any 192.168.125.192 255.255.255.192 NAT(内部)0访问列表inside_nat0_outbound nat(内部)1 0.0.0.0 0.0.0.0 静态(内部,外部)tcp接口44000 192.168.125.15 44000networking掩码255.255.255.255 静态(内部,外部)tcp接口https 192.168.125.15 httpsnetworking掩码255.255.255.255 静态(内部,外部)tcp接口4000 192.168.125.15 4000networking掩码255.255.255.255 静态(外部,内部)192.168.125.7 […]
我的问题是关于build议在防火墙后面实施高可用性和安全的FrontEnd到WebApp。 networking的组成部分及其关系如下: 1)2台运行Web应用程序的WebApps服务器(后端),由GUI1和GUI2表示 2)在主备用模式下configuration浮动IP的DMZ中的2台机器LB1和LB2用于冗余。 他们的任务是 作为代理提供额外的安全层(他们对来自GUI的数据包执行NAT) 处理基于cookie检查的stream量(实际上唯一的要求是实现基于cookie的会话持久性,而不是复杂的LB技术) 安全要求: 允许使用GUI的唯一可接受的通信方法(通过FireWall清楚)是通过反向SSH隧道。 传入FrontEnd的stream量通常是https(以及一些http) 问题是:在前端机器LB1和LB2上实现什么样的软件(开源)是实现这些目标的最佳select? 回想一下: SSL终止 (根据需要检查cookie) 基于Cookie的LB 主动/待机模式 我在这个领域没有实际经验,但是LB1和LB2上的NginX(解决SSL和cookies问题)和HearBeat(为了达到期望的冗余属性)应该是可行的。 我知道所提出的体系结构在某种程度上与HAproxy或LVS(configuration为两个冗余实例)类似,但是我需要一个保证同时处理所有描述任务的解决scheme(例如,HAproxy不支持SSL终止)。 欢迎任何意见和build议。 谢谢!
我通过iptables和ufwconfiguration了端口转发。 但有一些我不明白,我只是不能让iptables转发端口443到8443, 而不允许在UFW 端口8443 。 我希望端口443转发到端口8443,但我也希望端口8443被禁止从我的networking外部。 在简历中,如果我完全允许UFW上的端口443和8443,我只能将端口443转发到8443。 这是我在以后的唯一规则: -A PREROUTING -i eth0 -p tcp –dport 443 -j REDIRECT –to-port 8443 这是我的iptables路由configuration(非常简单): pkts bytes target prot opt in out source destination 0 0 REDIRECT tcp — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 8443 这是我的UFW状态: To Action From — —— —- 22 ALLOW Anywhere 443 […]
我在Amazon EC2上有一台Windows 2008服务器。 我在锅8080上安装了Jboss 7服务器(IIS在端口80上运行)。 当我在浏览器的服务器内执行http://localhost:8080 ,它工作正常。 但是当我从外部访问http://IPaddress:8080 ,请求超时。 请注意http://IPaddress工作正常,并指向IIS应用程序。 我在这个论坛中环顾四周,发现了一些有用的命令 netstat -a -n正确显示端口8080正在侦听 然后,我在Windows防火墙中添加了4个规则,在端口8080上为UDP和TCP添加了2个入站stream量,在端口8080上添加了2个出站stream量 现在,当我执行netsh firewall show state ,在标题为“所有networking接口当前打开的端口”下显示UDP和TCP端口8080, 有什么我失踪? 如何从Internet上访问此服务器的端口8080
我在我的本地机器上托pipe我自己的网站,并在我的路由器上build立一个虚拟服务器,一切都像魅力一样。 在IIS中,我无法绑定广域网IP,因为它不显示,如果我手动键入,网站不起作用。 我知道还有其他的东西需要我去做,比如把广域网的IP绑定到我的本地机器上,就像标题所说的那样,但是怎么做呢? 我确信所有的托pipe公司都在做类似的事情,但是我怎么办也找不到。
首先让我开始说,我不是很了解networking,所以有些术语可能不在我的脑海。 我只是知道足够绕过。 所以所有stream量都通过防火墙上的WAN1接口。 有没有办法让某些stream量通过WAN 2取决于目的地是什么?
我在事件日志中看到了很多条目: The Windows Filtering Platform has permitted a connection. Application Information: Process ID: 4 Application Name: System Network Information: Direction: Inbound Source Address: 10.xxx.xxx.xxx Source Port: 80 Destination Address: 10.xxx.xxx.xxx Destination Port: 31773 Protocol: 6 Filter Information: Filter Run-Time ID: 67903 Layer Name: Receive/Accept Layer Run-Time ID: 44 我们有一个负载均衡器,每秒检查一次,看看应用程序是否仍在运行(健康检查)。 这些日志包含大量的这种条目,这使得事件查看器变慢,很难find更有趣的日志。 我如何确保这些消息不会在事件日志中结束?